計算機誕生之日起，用戶名和口令就是最基本的訪問控制和身份驗證方法。然而，對數(shù)據(jù)泄露的事后分析表明，被盜憑證已成當今黑客主要攻擊點。事實上，81%的黑客相關(guān)事件都利用了被盜口令、默認口令或弱口令。用戶在多個賬戶和應用間重復使用相同口令，是造成這一慘狀的原因之一。比如說，TeleSign的一份報告就顯示，73%的用戶多個在線賬戶都用的是同一個口令。

[[228287]]

口令重用問題在企業(yè)環(huán)境中同樣存在。同時，被盜賬戶也為攻擊者提供了絕佳掩護，讓他們看起來就好像合法用戶一樣。只要利用了合法憑證，任何安全分析師都會認為是普通的用戶在操作，繼而引發(fā)多米諾骨牌效應，增加攻擊者在企業(yè)網(wǎng)絡內(nèi)橫向移動的風險。

多因子身份驗證是救星?

為給網(wǎng)絡攻擊者增加點障礙，有安全意識的公司在口令之上又增加了雙因子或多因子身份驗證(MFA)。也就是說，用戶想登錄App、終端或網(wǎng)絡基礎設施時需要提供除口令以外的信息或因子。MFA使用以下幾種因子的組合：

• 你知道的東西，比如用戶名、口令、PIN碼、安全問題。
• 你擁有的東西，比如各種形式的軟/硬件令牌、智能卡等。
• 你本身，比如指紋、聲紋、臉等生物特征。

MFA采用多種方式進行身份驗證，也就成為了阻止未授權(quán)用戶訪問敏感數(shù)據(jù)，限制其在網(wǎng)絡內(nèi)巡游的最佳方法之一。公司企業(yè)在MFA的使用上常會犯錯誤，僅局限在App訪問和終端用戶身上。然而，只在特定App、用戶或資源上應用MFA，公司一樣暴露在黑客攻擊風險之下。想要最少化攻擊鏈中的弱點，讓公司免受被盜憑證之害，MFA就要應用在每個用戶(終端用戶、特權(quán)用戶、承包商、合作伙伴)和每一項IT資源(云應用、現(xiàn)場應用、VPN、終端、服務器)上。

然而，盡管MFA好處多多，其采用率卻也沒達到100%。其中最大的障礙就是對生產(chǎn)力和終端用戶體驗的影響。比如說，都已經(jīng)提供用戶名和口令了，還要手動輸入短信上收到的驗證碼，這種事在很多人看來都是很麻煩的。不過，技術(shù)發(fā)展正在消除這種不愿意采用MFA的阻力。用智能手機上的一鍵點擊，來免除用戶手動輸入一次性驗證碼到終端上就是一大進步。盡管如此，還是有用戶抱怨這額外的步驟煩人——雖然已經(jīng)相對簡化便捷了很多。

隱形訪問控制：基于風險的身份驗證

最終，最佳安全防護應是透明又省事的。而這正是基于風險的身份驗證和機器學習技術(shù)的長項。

基于風險的身份驗證用機器學習定義并實施基于用戶行為的訪問策略。分析、機器學習、用戶資料和策略實施的結(jié)合，可以做出實時訪問決策，決定是否免除低風險訪問的身份驗證，是否在風險上升時增加身份驗證強度，或者是否完全禁止訪問。為評估每個訪問請求的風險，機器學習引擎必須處理多個因子，包括：位置、瀏覽器類型、操作系統(tǒng)、終端設備狀態(tài)、用戶屬性、時間戳、近期異常權(quán)限修改、異常指令執(zhí)行、異常資源訪問、異常賬戶使用、異常權(quán)限等等。

基于風險的身份驗證如果不應用在所有用戶(終端用戶、特權(quán)用戶、承包商、合作伙伴等等)和所有資源(App、基礎設施等等)上，企業(yè)安全等于空談。將基于風險的身份驗證作為成熟身份與訪問策略的一部分用于保護云端和現(xiàn)場的應用、設備、數(shù)據(jù)和基礎設施，可以帶來以下好處：

• 基于用戶行為和風險實時阻止攻擊
• 基于風險調(diào)整用戶所需進行的驗證強度
• 通過機器學習最少化策略創(chuàng)建和修改工作，解放IT資源
• 通過細化到每個用戶行為的訪問控制改善安全策略

基于風險的身份驗證不僅可以提供實時安全，還能標出高風險事件，將它們推送給安全分析師做進一步調(diào)查——極大減輕當今混合IT環(huán)境中識別威脅的工作量。在訪問控制上實現(xiàn)機器學習可以幫助公司企業(yè)減少對口令的依賴，或許最終還能徹底擺脫這惱人的口令。